Sysdig documenta primeiro ataque autônomo por agente de IA: CVE-2026-39987 no Marimo exposto em 4 pivôs

O Sysdig Threat Research Team (TRT) publicou nesta quinta-feira o relatório de um incidente que descreve como a primeira intrusão autônoma conduzida por um agente de LLM jamais registrada pela equipe: a partir de uma falha crítica pré-autenticada de execução remota de código no Marimo, um atacante desconhecido alcançou um banco de dados PostgreSQL interno em quatro pivôs consecutivos, completando o ciclo em menos de uma hora. O Sysdig TRT não identificou publicamente a organização em cujo ambiente o ataque foi detectado.

CVE-2026-39987: CVSS 9,3, autenticação completamente ausente

A CVE-2026-39987, atribuída pelo GitHub Security Lab com pontuação CVSS v4.0 de 9,3, reside no endpoint WebSocket /terminal/ws do Marimo. Enquanto outros endpoints do framework chamam validate_auth() corretamente, /terminal/ws valida apenas o modo de execução e o suporte à plataforma, ignorando a autenticação inteiramente. Um único request HTTP não autenticado concede um shell PTY completo. Todas as versões até e incluindo a 0.20.4 são vulneráveis; a correção está disponível na versão 0.23.0, lançada em abril. A falha foi explorada pela primeira vez em menos de 10 horas após a publicação do advisory em 8 de abril de 2026 (GHSA-2679-6mx9-h9xc), e a CISA adicionou o CVE ao catálogo KEV em 23 de abril, com prazo de remediação até 7 de maio para agências federais dos EUA.

Os quatro pivôs documentados

O incidente foi capturado em 10 de maio de 2026 pelos sensores do Sysdig TRT. O atacante seguiu o seguinte encadeamento: comprometeu um notebook Marimo acessível via internet pela CVE-2026-39987, obtendo shell imediato; extraiu dois pares de credenciais de nuvem do processo comprometido; consultou o AWS Secrets Manager usando as chaves AWS para recuperar uma chave SSH privada, através de um pool de saída em IPs distintos; e abriu oito sessões SSH curtas contra um servidor bastion downstream. Na fase do bastion, o esquema completo e o conteúdo de um banco de dados PostgreSQL interno foram exfiltrados em menos de dois minutos. O encadeamento completo durou menos de uma hora.

Quatro indicadores que identificaram o agente de IA

O agente realizou um dump do banco de dados sem nenhum conhecimento prévio do esquema, enumerando tabelas e direcionando imediatamente uma tabela de credenciais ausente na aplicação cujo esquema assemelhava, o que o Sysdig TRT interpreta como raciocínio de conhecimento geral em tempo real, não inteligência pré-coletada. Um comentário interno em chinês, "看还能做什么" (traduzido: "veja o que mais podemos fazer"), vazou diretamente no fluxo de comandos e foi despachado por seis IPs diferentes em cadência de submilissegundo, cadência impossível para um operador humano. Cada comando foi construído para consumo por máquina: separadores "---", captura limitada de saída e descarte sistemático do stderr para minimizar ruído de parsing. A senha de banco de dados foi lida do arquivo .pgpass instantes antes de ser utilizada, confirmando que o agente raciocina sobre o fluxo de valor entre etapas, não executa lógica pré-escrita.

Superfície de risco em pipelines de MLOps corporativo

O Marimo é adotado como substituto reativo ao Jupyter em pipelines corporativos de data science. A exposição inadvertida à internet ocorre em deployments de MLOps sobre Kubernetes com serviços do tipo LoadBalancer público, configuração documentada em ambientes de desenvolvimento de modelos nos setores financeiro e de telecomunicações.

Nos centros de delivery da Índia, onde TCS, Infosys e Wipro operam dezenas de milhares de engenheiros de dados em clusters de nuvem compartilhados, um notebook Marimo exposto pode funcionar como entrada para credenciais de produção de clientes corporativos. A dependência de AWS Secrets Manager como repositório de segredos de acesso privilegiado, amplamente adotada nesses ambientes, aparece explicitamente na cadeia de ataque documentada pelo Sysdig TRT.

Na Europa, onde o GDPR exige notificação de incidentes em até 72 horas após a ciência do controlador, ambientes de MLOps executando Marimo em versões afetadas (0.20.4 e anteriores) representam risco regulatório direto para firmas como Capgemini Engineering e equipes de dados em bancos como Deutsche Bank e ING, que mantêm centros de ML na Polônia, Alemanha e Países Baixos.

Ações imediatas

O Sysdig TRT recomenda atualizar para Marimo 0.23.0 ou superior, auditar instâncias acessíveis externamente, rotacionar todas as credenciais de nuvem e chaves SSH em ambientes que executaram versões afetadas, e bloquear egresso de rede em clusters de notebook para endpoints necessários.

O que o incidente demarca não é simplesmente a velocidade do ataque, mas a capacidade do agente de raciocinar adaptativamente sobre um ambiente completamente desconhecido: sem scripts pré-escritos, sem inteligência prévia, apenas inferência em tempo real sobre cada pivô. Esse nível de autonomia operacional reduz o custo de ingresso de um atacante que disponha de um modelo de linguagem de fronteira e de um CVE recente.